内嵌补丁（洞穴代码）

测试文件：https://www.lanzous.com/i5o5fhg

1.准备

典型的运行时压缩（或者加密代码），是EP代码先将加密的OEP代码解密，再跳转到OEP处。而若要修改被加密的内容，可以在EP解密代码之后，JMP跳转目标改为“洞穴代码”（此时的代码已被解密），再跳转到OEP。

打开测试文件

2.OD调试

查找所有字符串之后，未找到所需要的字符串。进入

00401001 |. E8 E3000000 call 004010E9

继续进入

004010EF |. E8 A7FFFFFF call 0040109B

2.1 解密地址

通过上图我们可以看到，4010F5区域被解密的两次，即被加密的两次。目前我们还不清楚，被加密的内容是是什么，但我们可以写出解密的结构

解密区域	解密起始地址	长度	XOR值
B	4010F5	0x154	0x44
A	401007	0x7f	0x7
B	4010F5	0x154	0x11

2.2 原OEP跳转

进入

004010B6 |. E8 7EFFFFFF call 00401039

跳转OEP

CTRL + A分析代码

方框内为DialogBoxParamA() API的五个参数，第四个参数用来指出Dialog Box Procedure的地址，入栈顺序和传参顺序相反，因此第四个参数值为DlgProc=004010F5，进入API内（转到4010F5），有我们需要修改的字符串。

3. 制作补丁

3.1 空区域查找

这时候，找到文件的空白区域，打入我们的补丁代码，将解密后jmp地址跳转到补丁地址，再跳转到OEP地址。

使用PEView打开测试文件，查看第一个节区

得到，第一个节区虽然文件大小为400，但是加载到内存的大小只有280，因此我们可以归纳在文件中使用的区域有400~67f，未使用区域680~800；内存中使用区域401000~40127f，未使用区域401280~401FFF

（虽然内存大小为280，但并不意味实际节区的内存大小为280，而要以Section Alignment的倍数扩展（此处为1000），所以内存地址VA范围在401000~401FFF）

转到OD内存中地址

3.2 制作补丁代码

将补丁代码写入到空白区域，并将我们修改的字符写入到ds:[si]中

00401280   > \B9 13000000   mov ecx,0x15
00401285   .  BE A8124000   mov esi,unpa4.004012A8                   ;  ASCII "successful unpackme!"
0040128A   .  BF 23114000   mov edi,unpa4.00401123                   ;  ASCII "You must patch this NAG !!!"
0040128F   .  F3:A4         rep movs byte ptr es:[edi],byte ptr ds:[>
00401291   .  B9 10000000   mov ecx,0x12
00401296   .  BE C8124000   mov esi,unpa4.004012C8                   ;  ASCII "I unpack!hkmayfly"
0040129B   .  BF 0A114000   mov edi,unpa4.0040110A                   ;  ASCII "You must unpack me !!!"
004012A0   .  F3:A4         rep movs byte ptr es:[edi],byte ptr ds:[>
004012A2   .^ E9 77FFFFFF   jmp unpa4.0040121E